LuaDream Malware

שחקן איום מתפתח, שלא היה ידוע בעבר ושמו 'סנדמן', זוהה כמבצע מאחורי סדרה של מתקפות סייבר שכוונו במיוחד לספקי תקשורת באזורים המשתרעים על פני המזרח התיכון, מערב אירופה ותת היבשת של דרום אסיה. פריצות סייבר אלו מסתמכות על שימוש במהדר Just-in-Time (JIT) המיועד לשפת התכנות Lua, הידועה בשם LuaJIT. מהדר זה משמש ככלי לפריסת תוכנה מאיימת שהתגלתה לאחרונה, המכונה 'LuaDream'.

חוקרים ציינו שפעילויות אלו שנצפו מסומנות על ידי תנועה אסטרטגית לרוחב לעבר תחנות עבודה מסוימות שנבחרו בקפידה, עם אינטראקציה מינימלית. התנהגות זו מציעה גישה מחושבת שנועדה להשיג יעדים ספציפיים תוך מזעור הסיכון לגילוי. הנוכחות של LuaDream מדגישה עוד יותר את התחכום של פעולה זו, ומציינת כי מדובר בפרויקט מבוצע היטב, מתוחזק באופן פעיל ומפותח ברציפות בהיקף ניכר.

פושעי הסייבר שמאחורי LuaDream השתמשו בגישה נדירה

נוכחותם של חפצי מיתר בתוך קוד המקור של השתל מצביעה על ציר זמן משמעותי, עם הפניות החל מה-3 ביוני 2022, מה שמצביע על כך שעבודת ההכנה לפעולה זו נמשכת כבר למעלה משנה.

תהליך הבימוי של LuaDream תוכנן בקפידה כדי להתחמק מזיהוי ולהפריע לניתוח, מה שמאפשר פריסה חלקה של התוכנה הזדונית ישירות לזיכרון המחשב. טכניקת הבמה זו מסתמכת במידה רבה על פלטפורמת LuaJIT, שהיא מהדר בדיוק בזמן שנועד לשפת הסקריפטים Lua. המטרה העיקרית היא להפוך את זה למאתגר לזהות את קוד הסקריפט Lua הפגום. קיים חשד כי LuaDream עשוי להיות שייך לזן חדש של תוכנות זדוניות המכונה DreamLand.

השימוש בתוכנות זדוניות מבוססות Lua הוא נדיר יחסית בנוף האיומים, עם רק שלושה מקרים מתועדים שנצפו מאז 2012.

LuaDream מצויד ביכולות ריגול סייבר חזקות

התוקפים נצפו עוסקים בשורה של פעילויות, כולל גניבת אישורים מנהליים וביצוע סיור כדי לחדור לתחנות עבודה ספציפיות בעלות עניין. המטרה הסופית שלהם היא לפרוס את LuaDream.

LuaDream היא דלת אחורית מודולרית מרובת פרוטוקולים הכוללת 13 רכיבי ליבה ו-21 רכיבי תמיכה. תפקידו העיקרי הוא לחלץ מידע על המערכת והמשתמש, בנוסף לניהול תוספים שונים המסופקים על ידי תוקף המשפרים את היכולות שלו, כגון ביצוע פקודות. יתר על כן, LuaDream משלבת מספר מנגנונים נגד איתור באגים כדי להתחמק מזיהוי ולהתנגד לניתוח.

כדי ליצור תקשורת Command-and-Control (C2), LuaDream פונה לדומיין בשם "mode.encagil.com" באמצעות פרוטוקול WebSocket. עם זאת, יש לו גם את היכולת לקבל חיבורים נכנסים באמצעות פרוטוקולי TCP, HTTPS ו-QUIC.

מודולי הליבה כוללים את כל הפונקציות הנ"ל. יחד עם זאת, לרכיבי התמיכה יש תפקיד מכריע בהרחבת יכולות הדלת האחורית, ומאפשרים לה להאזין לחיבורים המבוססים על ה-API של Windows HTTP server ולהפעיל פקודות לפי הצורך.

LuaDream משמשת דוגמה ראויה לציון למחויבות המתמשכת ולכושר ההמצאה שמפגינים שחקני איומי ריגול סייבר תוך שהם משפרים ומשכללים את ארסנל הכלים והטכניקות המאיימים שלהם. זה מדגיש את האופי הדינמי והמתפתח של איומי הסייבר בנוף המודרני, שבו התוקפים שואפים בעקביות להקדים את אמצעי האבטחה ולשמור על יעילותם בהסתננות ופגיעה במערכות יעד.